Documento programmatico per la Sicurezza
dei Trattamenti di Dati Personali
Decreto Legislativo 30 giugno 2003, n. 196
"Codice in materia di protezione dei dati personali"
Prot. n. 1578 del 14/03/2016
1
Istituto Comprensivo di Sennori
Documento programmatico per la Sicurezza
dei Trattamenti di Dati Personali
Effettuati da:
Ragione sociale: ISTITUTO COMPRENSIVO SENNORI Indirizzo: VIA Alghero, snc
Sede operativa: SARDEGNA (SS) Partita IVA: 92071230905
Attività: Istruzione Telefono: 0793049280
2
Istituto Comprensivo di Sennori
Indice Parte Prima
I. Premessa
II. Organigramma della Sicurezza dei trattamenti III. Dispositivi Hardware e software e banche dati IV. Analisi dei rischi
V. Misure di sicurezza adottate e da adottare Parte Seconda
a. Definizioni, ruoli, compiti
b. Linee guida Assistente Amministrativo c. Linee guida Docente
d. Linee guida Collaboratore scolastico
3
Istituto Comprensivo di Sennori
Parte Prima I. Premessa
Il presente documento, in ottemperanza alle prescrizioni contenute negli articoli 31 e seguenti del Decreto Legislativo 30 giugno 2003, n. 196 (cosiddetto “codice della privacy”), individua le linee guida generali, le azioni e le misure per il trattamento dei dati personali e sensibili in condizione di sicurezza.
Le misure individuate perseguono la finalità di ridurre al minimo, con riferimento alla tipologia dei dati trattati, i rischi di distruzione o perdita degli stessi, nonché i rischi di accesso non autorizzato, il trattamento non consentito o non conforme alle finalità di raccolta.
In tal senso il presente documento individua soggetti, compiti e responsabilità in materia di sicurezza dei trattamenti, descrivendo le modalità per l’analisi e la valutazione dei rischi, nonché le misure necessarie per ridurre tali rischi al minimo.
In termini operativi il presente documento individua non soltanto la protezione del patrimonio informativo da accessi non autorizzati e rischi di cancellazione, distruzione o perdita di dati, ma anche la limitazione degli effetti causati dall’eventuale occorrenza di tali cause.
Il sistema informativo descritto nel presente documento viene definito sicuro in quanto:
a) garantisce la disponibilità dell’informazione per il trattamento in termini funzionali ai livelli di servizio attesi;
b) garantisce l’integrità delle informazioni e dei servizi per il trattamento attraverso l’attribuzione di specifici e definiti incarichi;
c) garantisce l’autenticità delle informazioni quale certificazione delle fonti di provenienza dei dati;
d) garantisce la confidenzialità e la riservatezza delle informazioni in quanto definisce incarichi e istruzioni per le persone autorizzate ad effettuare i trattamenti.
Il presente documento si applica a tutte le attività svolte all’interno dell’Istituto che abbiano riflesso sulle attività di trattamento dei dati personali.
La stesura del presente documento è aderente alle seguenti linee guida:
a) analisi dello stato dell’organizzazione attraverso l’identificazione e distinzione delle responsabilità delle figure soggettive coinvolte nel trattamento; l’identificazione, l’inventario e l’analisi dell’hardware, del software e delle banche dati;
b) l’individuazione e la valutazione del rischio;
c) l’individuazione delle misure preventive e correttive;
d) l’individuazione di istruzioni agli incaricati e la previsione di un programma formativo.
4
Istituto Comprensivo di Sennori
II. Organigramma della Sicurezza dei trattamenti Titolare del trattamento dei dati:
Rita Ivana Camboni (Dirigente scolastico) Responsabile interno del trattamento:
Giovanni Gavino Degortes (Direttore S.G.A.) Amministratore di sistema:
Adelmo Sechi
Giovanni Gavino Degortes (Direttore S.G.A. – uffici di segreteria) Preposto alla tenuta delle password:
Adelmo Sechi ( Password laboratori informatici, Server e access point) Giovanni Gavino Degortes (Direttore S.G.A. – uffici di segreteria)
Nomine Soggetti Interni del trattamento dati - Struttura: Ufficio Presidenza.
Responsabili del trattamento Dott.ssa Rita Ivana
Camboni Via Alghero Sennori Dirigente Scolastico ssic80700q@ istruzione.it Nomine Soggetti Interni del trattamento dati - Struttura: Ufficio D.S.G.A.
Responsabili del trattamento Giovanni Gavino
Degortes Via Alghero Sennori Direttore dei Servizi Generali e
Amministrativi ssic80700q@ istruzione.it
5
Istituto Comprensivo di Sennori
Nomine Soggetti Interni del trattamento dati – Tipo Scuola: Infanzia Nomine Soggetti Interni del trattamento dati - Struttura: Ufficio personale
Responsabili del trattamento
Nome e Cognome Indirizzo Città Profilo E-mail
Giovanni Gavino
Degortes Via Alghero Sennori Direttore dei Servizi Generali e
Amministrativi ssic80700q@ istruzione.it Incaricati del trattamento
Nome e Cognome Indirizzo Città Profilo E-mail
Carboni Maria
Grazia Via Alghero Sennori Assistente
Amministrativo ssic80700q@ istruzione.it Lizzeri Anna Maria Via Alghero Sennori Assistente
Amministrativo ssic80700q@ istruzione.it Morittu Anna Via Alghero Sennori Assistente
Amministrativo ssic80700q@ istruzione.it
Satta Maria Paola Via Alghero Sennori Assistente
Amministrativo ssic80700q@ istruzione.it
Incaricati del trattamento
Cognome e nome Città Profilo E-mail
CANU IOLE Sennori Insegnante ssic80700q@ istruzione.it COSSU MARIA CHIARA Sennori Insegnante ssic80700q@ istruzione.it COSSU MARIELLA Sennori Insegnante ssic80700q@ istruzione.it DETTORI GIUSEPPINA
GIOVANNA Sennori Insegnante ssic80700q@ istruzione.it DETTORI VANNA Sennori Insegnante ssic80700q@ istruzione.it ESPOSITO DEBORAH Sennori Insegnante ssic80700q@ istruzione.it FAEDDA MARIA GRAZIA Sennori Insegnante ssic80700q@ istruzione.it FAEDDA RAIMONDA Sennori Insegnante ssic80700q@ istruzione.it FOIS NICOLETTA Sennori Insegnante ssic80700q@ istruzione.it FOIS RITA Sennori Insegnante ssic80700q@ istruzione.it IDDA TERESA Sennori Insegnante ssic80700q@ istruzione.it MARONGIU PIERUCCIA Sennori Insegnante ssic80700q@ istruzione.it MAZZONI BATTISTINA Sennori Insegnante ssic80700q@ istruzione.it MURETTO ANNA CINZIA Sennori Insegnante ssic80700q@ istruzione.it PIGA GIOVANNA Sennori Insegnante ssic80700q@ istruzione.it PINTUS FRANCESCA Sennori Insegnante ssic80700q@ istruzione.it PORCHEDDU ANTONELLA Sennori Insegnante ssic80700q@ istruzione.it
6
Istituto Comprensivo di Sennori
Nomine Soggetti Interni del trattamento dati – Tipo Scuola: Primaria PORCHEDDU MARIA RITA Sennori Insegnante ssic80700q@ istruzione.it RUIU BAINGIA Sennori Insegnante ssic80700q@ istruzione.it SCANO VALERIA Sennori Insegnante ssic80700q@ istruzione.it SOLINAS ALESSANDRA Sennori Insegnante ssic80700q@ istruzione.it STOCCORO GIACOMINA Sennori Insegnante ssic80700q@ istruzione.it
Incaricati del trattamento BACCOLI CATERINA
ANGELA Sennori Insegnante ssic80700q@ istruzione.it BACCOLI MONICA Sennori Insegnante ssic80700q@ istruzione.it CAMBONI MARIA LISA Sennori Insegnante ssic80700q@ istruzione.it CASU GRAZIA Sennori Insegnante ssic80700q@ istruzione.it COLOMBINO CATERINA
GIOVANNA Sennori Insegnante ssic80700q@ istruzione.it DEL VIGO MONICA Sennori Insegnante ssic80700q@ istruzione.it DI MEGLIO DESIRÈ Sennori Insegnante ssic80700q@ istruzione.it DORO GIOVANNA Sennori Insegnante ssic80700q@ istruzione.it FANCELLU ADRIANA Sennori Insegnante ssic80700q@ istruzione.it FENU ANTONICA Sennori Insegnante ssic80700q@ istruzione.it FRANCA ANTONELLA Sennori Insegnante ssic80700q@ istruzione.it FRANCA MARISA Sennori Insegnante ssic80700q@ istruzione.it GARAU NATASCIA Sennori Insegnante ssic80700q@ istruzione.it GIBILISCO GIUSEPPINA Sennori Insegnante ssic80700q@ istruzione.it GIORDO TERESA Sennori Insegnante ssic80700q@ istruzione.it LADINETTI MAVI Sennori Insegnante ssic80700q@ istruzione.it LORIGA FRANCESCA Sennori Insegnante ssic80700q@ istruzione.it MANAI GIUSEPPINA Sennori Insegnante ssic80700q@ istruzione.it MANCA DINA Sennori Insegnante ssic80700q@ istruzione.it MANCA LAURA Sennori Insegnante ssic80700q@ istruzione.it MANCA VALERIA Sennori Insegnante ssic80700q@ istruzione.it MANNU GIOVANNA Sennori Insegnante ssic80700q@ istruzione.it MELE STEFANIA Sennori Insegnante ssic80700q@ istruzione.it MELINO MARIA GIUSEPPA Sennori Insegnante ssic80700q@ istruzione.it MURGIA BARBARA Sennori Insegnante ssic80700q@ istruzione.it OBINO FERNANDA Sennori Insegnante ssic80700q@ istruzione.it OBINO ROMINA Sennori Insegnante ssic80700q@ istruzione.it OLIVIERI ANNA Sennori Insegnante ssic80700q@ istruzione.it PAZZOLA FRANCESCA Sennori Insegnante ssic80700q@ istruzione.it PINNA MARINA Sennori Insegnante ssic80700q@ istruzione.it PISANU GAVINA Sennori Insegnante ssic80700q@ istruzione.it PLUCHINO ANNA Sennori Insegnante ssic80700q@ istruzione.it SALIS ROSANNA Sennori Insegnante ssic80700q@ isrruzione.it
7
Istituto Comprensivo di Sennori
Nomine Soggetti Interni del trattamento dati – Tipo Scuola: Secondaria SEGHENE ELISABETTA Sennori Insegnante ssic80700q@ istruzione.it USAI ANNA LISA Sennori Insegnante ssic80700q@ istruzione.it VALLEBELLA FRANCESCA Sennori Insegnante ssic80700q@ istruzione.it ZICCHI GIOVANNA Sennori Insegnante ssic80700q@ istruzione.it
Incaricati del trattamento
ASARA GIUSEPPINA Sennori Insegnante ssic80700q@ istruzione.it BARTOLI SERGIO Sennori Insegnante ssic80700q@ istruzione.it BIDDAU MAURA Sennori Insegnante ssic80700q@ istruzione.it BLASINA SARA Sennori Insegnante ssic80700q@ istruzione.it CAMPESI FRANCA Sennori Insegnante ssic80700q@ istruzione.it CANU VITTORIANA Sennori Insegnante ssic80700q@ istruzione.it CASU CLAUDIA Sennori Insegnante ssic80700q@ istruzione.it CASU MARCELLO Sennori Insegnante ssic80700q@ istruzione.it CATTARI MANUELA Sennori Insegnante ssic80700q@ istruzione.it CHERVEDDU ALDO Sennori Insegnante ssic80700q@ istruzione.it CHESSA LUCIANA Sennori Insegnante ssic80700q@ istruzione.it FIORAVANTI MARIA RITA Sennori Insegnante ssic80700q@ istruzione.it FLORIS MARIA LUISA ANNA Sennori Insegnante ssic80700q@ istruzione.it FOIS ANTONELLA Sennori Insegnante ssic80700q@ istruzione.it FUMI MARIA RITA Sennori Insegnante ssic80700q@ istruzione.it GAZALE ALESSANDRO Sennori Insegnante ssic80700q@ istruzione.it HIJAZI MILENA Sennori Insegnante ssic80700q@ istruzione.it LAMBRONI MARCO Sennori Insegnante ssic80700q@ istruzione.it MARA MARCELLA Sennori Insegnante ssic80700q@ istruzione.it MARCELLINO PIERLUIGI
RICCARDO Sennori Insegnante ssic80700q@ istruzione.it MARGINESU ANNA Sennori Insegnante ssic80700q@ istruzione.it MARRAS GIUSEPPINA
MARIA ANTONIETTA Sennori Insegnante ssic80700q@ istruzione.it MELONI MARIANTONIA Sennori Insegnante ssic80700q@ istruzione.it MUNDULA MARIA Sennori Insegnante ssic80700q@ istruzione.it NIEDDU LAURA Sennori Insegnante ssic80700q@ istruzione.it NUFRIS ALBERTO Sennori Insegnante ssic80700q@ istruzione.it PALMAS ELEONORA Sennori Insegnante ssic80700q@ istruzione.it PEDROTTI PATRIZIA Sennori Insegnante ssic80700q@ istruzione.it PETRUZZI MARA
VALENTINA Sennori Insegnante ssic80700q@ istruzione.it PIPPIA MARCELLA Sennori Insegnante ssic80700q@ istruzione.it POLINAS RITA ANNA
ROSALIA Sennori Insegnante ssic80700q@ istruzione.it POSADINU GIOVANNA Sennori Insegnante ssic80700q@ istruzione.it
8
Istituto Comprensivo di Sennori
Nomine Soggetti Interni del trattamento dati – Tipo Scuola: Personale ATA MARIA
SALIS CLAUDIA Sennori Insegnante ssic80700q@ istruzione.it SANNA MAURO GIACOMO Sennori Insegnante ssic80700q@ istruzione.it SOTGIU GIUSEPPE
DOMENICO Sennori Insegnante ssic80700q@ istruzione.it URGEGHE DANIELE Sennori Insegnante ssic80700q@ istruzione.it USAI GRAZIA Sennori Insegnante ssic80700q@ istruzione.it
Incaricati del trattamento
BRANCA MARIA PIERA Sennori Personale ATA ssic80700q@ istruzione.it BATTINO SEBASTIANA Sennori Personale ATA ssic80700q@ istruzione.it CABRAS NICOLETTA Sennori Personale ATA ssic80700q@ istruzione.it CARBONI GAVINUCCIA Sennori Personale ATA ssic80700q@ istruzione.it COLOMBINO CATERINA Sennori Personale ATA ssic80700q@ istruzione.it DESSENA GIUSTA Sennori Personale ATA ssic80700q@ istruzione.it FOIS GIUSEPPE Sennori Personale ATA ssic80700q@ istruzione.it MACCIOCU Sennori Personale ATA ssic80700q@ istruzione.it MASALA SALVATORE Sennori Personale ATA ssic80700q@ istruzione.it PIGA MARIA Sennori Personale ATA ssic80700q@ istruzioae.it PIREDDA GAVINA Sennori Personale ATA ssic80700q@ istruzione.it PIREDDA PIERO Sennori Personale ATA ssic80700q@ istruzione.it PISANO NATALIA Sennori Personale ATA ssic80700q@ istruzione.it SECHI PASQUALINA Sennori Personale ATA ssic80700q@ istruzione.it SINI LORENZINA Sennori Personale ATA ssic80700q@ istruzione.it TORRENI SALVATORE Sennori Personale ATA ssic80700q@ istruzione.it
9
Istituto Comprensivo di Sennori
III. Dispositivi Hardware e software e banche dati Dispositivi Hardware e software per il trattamento dati.
Elenco dei sistemi di elaborazione localizzati in una specifica struttura: Uffici Scuola di Secondo grado Via Alghero snc su cui è presente la Banca dati oggetto del trattamento dei dati.
Nome Banca dati: Fascicolo del personale - Direttivi - Docenti - Amministrativi - Alunni - Struttura: Segreteria
Elenco Sistemi di Elaborazione
n. 1 Personal Computer NXT Intel Celeron CPU E1200 1,6 GHZ RM 2 GB Video
ACER Satta Maria Paola
n. 2 Personal Computer LG Intel Pentium 4 CPU 3 GHZ RAM 2 GB Video ACER Morittu Anna n. 3 Personal Computer LG Intel Pentium 4 CPU 3 GHZ RAM 2 GB Video ACER Lizzeri Anna Maria
n. 4 Personal Computer LG Intel Pentium 4 CPU 3 GHZ RAM 2 GB Video ACER Carboni Maria Grazia
n. 5 Personal Computer XENO P4 32 MT 160 GB 3.00 GHZ Presidenza
Elenco Software e sistema operativo Sistema Operativo MS
Windows XP Professional/Seven Professional/Otto Professional Sissi in rete
Microsoft office Argo in rete
CD BURNER XP PRO
10
Istituto Comprensivo di Sennori
Nome Banca dati: Anagrafe fornitori e contratti - Struttura: Ufficio D.S.G.A
Elenco Sistemi di Elaborazione n. 1 Personal Computer LG Intel Pentium 4 CPU 3 GHZ RAM 2 GB
Video ACER Ufficio D.S.G.A.
n. 1 Personal Computer HP PROLIANT ML 350 INTEL XEON 3,00
GHZ 1,OO GB Server Applicazioni
n. 1 Personale Computer Server Antivirus
Elenco Software e sistema operativo Sistema Operativo
Windows Server Sistema Operativo MS Windows Sistema Operativo XP Professional Microsoft office Sissi in rete CD BURNER XP Argo in rete PRO
ANTIVIRUS e BACKUP
Tutti gli edifici scolastici sono stati collegati tra di loro attraverso ponti radio, i quali consentono di gestire la rete LAN in maniera uniforme. Il software antivirus è stato installato in un PC che svolge le funzioni di manager e quindi distribuisce i pacchetti e gli aggiornamenti ai client della rete scolastica. Il database del software Kaspersky viene aggiornato quotidianamente in modo automatizzato.
I backup degli applicativi viene effettuato regolarmente con una frequenza settimanale da tutti gli operatori in apposito NAS di rete, la verifica dell'effettuazione dell'intervento è affidata al D.S.G.A.
11
Istituto Comprensivo di Sennori
IV. Analisi dei rischi
Nella tabella seguente sono elencati gli eventi potenzialmente in grado di determinare danno a tutte o parte delle risorse necessarie alla conservazione dei dati oggetto del trattamento. I rischi sono classificabili in funzione dell'evento che li determina, quindi sono determinati da:
Comportamento degli operatori;
Eventi relativi agli strumenti;
Eventi relativi al contesto.
Nome Banca dati: Fascicolo del personale - Direttivi - Docenti - Amministrativi - Alunni - Struttura: Ufficio presidenza
Rischi Descrizione dell’impatto sulla sicurezza (Gravita Rischio: Bassissimo/Basso/Medio/Alto) Comportamento degli Operatori
Errore materiale R.Basso
Comportamenti sleali e fraudolenti R.Basso Carenza di consapevolezza, disattenzione e
incuria R. Basso
Sottrazione di credenziali di autenticazione R. Basso
Eventi relativi agli strumenti Intercettazioni di informazioni in rete R. Medio
Accessi esterni non autorizzati R. Medio Malfunzionamento, indisponibilità o
degrado degli strumenti R. Medio
Smapping o tecniche di sabotaggio R. Medio Azioni di virus informatici o di programmi
suscettibili di recare danno R. Medio
Eventi relativi al contesto
Errori umani R. Basso
Guasto a sistemi complementari (impianto
elettrico, climatizzazione, etc) R. Basso Eventi distruttivi, naturali o artificiali
(scariche atmosferiche, incendi, allagamenti, etc) nonché dolosi, accidentali o dovuti ad incuria
R. Basso
Sottrazione di strumenti contenenti dati R. Basso Accessi non autorizzati a locali o reparti ad
accesso limitato R. Basso
12
Istituto Comprensivo di Sennori
Nome Banca dati: Anagrafe fornitori e contratti - Struttura: Ufficio D.S.G.A.
Rischi Descrizione dell’impatto sulla sicurezza (Gravita Rischio: Bassissimo/Basso/Medio/Alto) Comportamento degli Operatori
Errore materiale R. Basso
Comportamenti sleali e fraudolenti R. Basso Carenza di consapevolezza, disattenzione R. Basso
Incuria R. Basso
Sottrazione di credenziali di autenticazione R. Basso
Eventi relativi agli strumenti Intercettazioni di informazioni in rete R. Medio
Accessi esterni non autorizzati R.Medio Malfunzionamento, indisponibilità o
degrado degli strumenti R. Medio
Smapping o tecniche di sabotaggio R. Medio Azioni di virus informatici o di programmi
suscettibili di recare danno R. Medio
Eventi relativi agli strumenti Intercettazioni di informazioni in rete R. Medio
Accessi esterni non autorizzati R.Medio Malfunzionamento, indisponibilità o
degrado degli strumenti R. Medio
Smapping o tecniche di sabotaggio R.Medio Azioni di virus informatici o di programmi
suscettibili di recare danno R. Medio
Eventi relativi al contesto
Errori umani R.Basso
Guasto a sistemi complementari (impianto
elettrico, climatizzazione, etc) R. Basso Eventi distruttivi, naturali o artificiali
(scariche atmosferiche, incendi, allagamenti, etc) nonché dolosi, accidentali o dovuti ad incuria
R. Basso
Sottrazione di strumenti contenenti dati R. Basso Accessi non autorizzati a locali o reparti ad
accesso limitato R. Basso
13
Istituto Comprensivo di Sennori
Nome Banca dati: Banche dati insegnanti - Struttura: Didattica
Rischi Descrizione
(Gravità Rischio dell’impatto sulla sicurezza:
Bassissimo/Basso/Medio/Alto Comportamento degli Operatori
Errore materiale R. Basso
Comportamenti sleali e fraudolenti R. Basso Carenza di consapevolezza, disattenzione e
incuria R. Basso
Sottrazione di credenziali di autenticazione R. Basso
Eventi relativi agli strumenti Intercettazioni di informazioni in rete R. Medio
Accessi esterni non autorizzati R. Medio Malfunzionamento, indisponibilità o
degrado degli strumenti R. Medio
Smapping o tecniche di sabotaggio R. Medio Azioni di virus informatici o di programmi
suscettibili di recare danno R. Medio
Eventi relativi al contesto
Errori umani R. Basso
Guasto a sistemi complementari (impianto
elettrico, climatizzazione, etc) R. Basso Eventi distruttivi, naturali o artificiali
(scariche atmosferiche, incendi, allagamenti, etc) nonché dolosi, accidentali o dovuti ad incuria
R. Basso
Sottrazione di strumenti contenenti dati R. Basso Accessi non autorizzati a locali o reparti ad
accesso limitato R. Basso
14
Istituto Comprensivo di Sennori
V. Misure di sicurezza adottate e da adottare
Nella tabella seguente sono elencati le misure di sicurezza, esse individuano le azioni che si propongono al fine di annullare o di limitare le vulnerabilità, sono suddivise nelle seguenti tre categorie in merito all'evento che si deve impedire:
contromisure di carattere fisico;
contromisure di carattere procedurale;
contromisure di carattere elettronico/informatico.
Comportamento degli operatori Rischio: Errore materiale
Descrizione dei rischi contrastati Misure già in essere Misure da adottare
Chiusura a chiave Sì -
SmartCard - Sì
Rilevazione biometriche - Sì
Badge Sì -
Fotocopiatrice con chiave - Si
Registrazione numero copia Sì -
Formazione - Sì
Autenticazione utente Si -
Identificazione utente Sì -
Istruzione incaricati Sì -
Sanzioni disciplinari - Sì
Procedura gestione chiavi Sì -
Controllo riproduzione audio/video - Sì
Registro distruzione - Sì
Rilevazione accessi - Sì
Vigilanza Sì -
Verifiche Sì -
Circolari Sì -
Crittografia - Sì
Firma digitale - Sì
Firewall Sì Sì
Gestione risorse umane Sì -
Cartelli segnaletici Sì -
Password Sì -
Protocollo di protezione - Sì
Armadi chiusi a chiave Sì -
Custodia in cassaforte Sì -
Sistemi di allarme Sì -
Videoregistrazione Si --
Registrazione accessi - Sì
Carico/scarico documenti - Sì
Rischio: Comportamenti sleali e fraudolenti
Descrizione dei rischi contrastati Misure già in essere Misure da adottare
Chiusura a chiave Sì -
15
Istituto Comprensivo di Sennori
SmartCard - Sì
Rilevazione biometriche - Sì
Badge Sì -
Fotocopiatrice con chiave - Sì
Registrazione numero copia Sì -
Formazione - Sì
Autenticazione utente Si -
Identificazione utente Sì -
Istruzione incaricati Sì -
Sanzioni disciplinari - Sì
Procedura gestione chiavi Sì -
Controllo riproduzione audio/video Si -
Registro distruzione - Sì
Rilevazione accessi - Sì
Vigilanza Sì -
Verifiche Sì -
Circolari Sì -
Crittografia - Sì
Firma digitale - Sì
Firewall Sì Sì
Gestione risorse umane Sì -
Cartelli segnaletici Sì -
Password Sì -
Protocollo di protezione - Sì
Armadi chiusi a chiave Sì -
Custodia in cassaforte Sì -
Sistemi di allarme Sì -
Videoregistrazione Sì -
Registrazione accessi - Sì
Carico/scarico documenti - Sì
Rischio: Carenza di consapevolezza, disattenzione e incuria
Descrizione dei rischi contrastati Misure già in essere Misure da adottare
Chiusura a chiave Sì -
SmartCard - Sì
Rilevazione biometriche - Sì
Badge Sì -
Fotocopiatrice con chiave - Sì
Registrazione numero copia Sì -
Formazione - Sì
Autenticazione utente Sì -
Identificazione utente Sì -
Istruzione incaricati Sì -
Sanzioni disciplinari - Sì
Procedura gestione chiavi Sì -
Controllo riproduzione audio/video - Sì
Registro distruzione - Sì
Rilevazione accessi - Sì
Vigilanza Sì -
Verifiche Sì -
Circolari Sì -
Crittografia - Sì
16
Istituto Comprensivo di Sennori
Firma digitale _ Sì
Firewall Sì Sì
Gestione risorse umane Sì -
Cartelli segnaletici Sì -
Password Sì -
Protocollo di protezione - Sì
Armadi chiusi a chiave Sì -
Custodia in cassaforte Sì -
Sistemi di allarme Sì -
Videoregistrazione Sì -
Registrazione accessi - Sì
Carico/scarico documenti - Sì
Rischio: Sottrazione di credenziali di autenticazione
Descrizione dei rischi contrastati Misure già in essere Misure da adottare
Chiusura a chiave Sì -
SmartCard - Sì
Rilevazione biometriche - Sì
Badge - Sì
Fotocopiatrice con chiave - Sì
Registrazione numero copia - Sì
Formazione - Sì
Autenticazione utente Sì -
Identificazione utente Sì -
Istruzione incaricati Sì -
Sanzioni disciplinari - Sì
Procedura gestione chiavi Sì -
Controllo riproduzione audio/video - Sì
Registro distruzione - Sì
Rilevazione accessi - Sì
Vigilanza Sì -
Verifiche Sì -
Circolari Sì -
Crittografia - Sì
Firma digitale - Sì
Firewall Sì Sì
Gestione risorse umane Sì -
Cartelli segnaletici Sì -
Password Sì -
Protocollo di protezione - Sì
Armadi chiusi a chiave Sì -
Custodia in cassaforte - Sì
Sistemi di allarme Sì -
Videoregistrazione Sì -
Registrazione accessi - Sì
Carico/scarico documenti - Sì
17
Istituto Comprensivo di Sennori
Eventi relativi agli strumenti
Rischio: Intercettazioni di informazioni in rete
Descrizione dei rischi contrastati Misure già in essere Misure da adottare
Crittografia - Sì
Registrazione accessi - Sì
Password Sì -
User-id Sì -
Log file - Sì
Antivirus aggiornato Sì -
Gruppo di continuità Sì -
Impianto certificato Sì -
Firma digitale - Sì
Formazione personale - Sì
Rapporti provider - Sì
Backup Sì Sì
Firewall Sì Sì
Manutenzione - Sì
Assistenza - Sì
Identificazione utente - Sì
Rischio: Accessi esterni non autorizzati
Descrizione dei rischi contrastati Misure già in essere Misure da adottare
Crittografia - Sì
Registrazione accessi - Sì
Password - Sì
User-id - Sì
Log file - Sì
Antivirus aggiornato Sì -
Gruppo di continuità Sì -
Impianto certificato Sì -
Firma digitale - Sì
Formazione personale - Sì
Rapporti provider - Sì
Backup Sì Sì
Firewall Sì Sì
Manutenzione - Sì
Assistenza - Sì
Identificazione utente - Sì
Rischio: Malfunzionamento, indisponibilità o degrado degli strumenti Descrizione dei rischi contrastati Misure già in essere Misure da adottare
Crittografia - Sì
18
Istituto Comprensivo di Sennori
Registrazione accessi - Sì
Password - Sì
User-id - Sì
Log file - Sì
Antivirus aggiornato Sì -
Gruppo di continuità Sì -
Impianto certificato Sì -
Firma digitale - Sì
Formazione personale - Sì
Rapporti provider - Sì
Backup Sì Sì
Firewall Sì Sì
Manutenzione - Sì
Assistenza - Sì
Identificazione utente - Sì
Rischio: Smapping o tecniche di sabotaggio
Descrizione dei rischi contrastati Misure già in essere Misure da adottare
Crittografia - Sì
Registrazione accessi - Sì
Password Sì -
User-id Sì -
Log file - Sì
Antivirus aggiornato Sì -
Gruppo di continuità Sì -
Impianto certificato Sì -
Firma digitale - Sì
Formazione personale - Sì
Rapporti provider - Sì
Backup Sì Sì
Firewall Sì Sì
Manutenzione - Sì
Assistenza - Sì
Identificazione utente - Sì
Rischio: Azioni di virus informatici o di programmi suscettibili di recare danno
Descrizione dei rischi contrastati Misure già in essere Misure da adottare
Crittografìa - Sì
Registrazione accessi - Sì
Password - Sì
User-id - Sì
Log file - Sì
Antivirus aggiornato Sì -
Gruppo di continuità - Sì
19
Istituto Comprensivo di Sennori
Impianto certificato Sì -
Firma digitale - Sì
Formazione personale - Sì
Rapporti provider - Sì
Backup Sì Sì
Firewall Sì Sì
Manutenzione - Sì
Assistenza - Sì
Identificazione utente - Sì
Eventi relativi al contesto Rischio: Errori umani
Descrizione dei rischi contrastati Misure già in essere Misure da adottare
Formazione - Sì
Badge controllo accessi - Sì
Sistemi biometrici controllo
accessi - Sì
Costruzione antisismica - Sì
SmartCard - Sì
Gruppo alimentazione elettrica - Sì
Dispositivi di emergenza - Sì
piano di emergenza Sì -
Linee guida Sì -
Dispositivo antincendio Sì -
Backup Sì Sì
Vigilanza Sì -
Sistema di allarme Si Sì
Videoregistrazione - Sì
Registro controlli accesso - Sì
Rischio: Guasto a sistemi complementari (impianto elettrico, climatizzazione, etc)
Descrizione dei rischi contrastati Misure già in essere Misure da adottare
Formazione - Sì
Badge controllo accessi - Sì
Sistemi biometrici controllo
accessi - Sì
Costruzione antisismica - Sì
SmartCard - Sì
Gruppo alimentazione elettrica - Sì
Dispositivi di emergenza - Sì
piano di emergenza Sì -
20
Istituto Comprensivo di Sennori
Linee guida Sì -
Dispositivo antincendio Sì -
Backup Sì Sì
Vigilanza Sì -
Sistema di allarme Si Sì
Videoregistrazione Sì- -
Registro controlli accesso - Sì
Rischio: Eventi distruttivi, naturali o artificiali (scariche atmosferiche, incendi, allagamenti, etc) nonché dolosi, accidentali o dovuti ad incuria
Descrizione dei rischi contrastati Misure già in essere Misure da adottare
Formazione - Sì
Badge controllo accessi - Sì
Sistemi biometrici controllo
accessi - Sì
Costruzione antisismica - Sì
SmartCard - Sì
Gruppo alimentazione elettrica - Sì
Dispositivi di emergenza - Sì
piano di emergenza Sì -
Linee guida Sì -
Dispositivo antincendio Sì -
Backup Sì Sì
Vigilanza Sì -
Sistema di allarme Si Sì
Videoregistrazione Sì -
Registro controlli accesso - Sì
Rischio: Sottrazione di strumenti contenenti dati
Descrizione dei rischi contrastati Misure già in essere Misure da adottare
Formazione - Sì
Badge controllo accessi - Sì
Sistemi biometrici controllo
accessi - Sì
Costruzione antisismica - Sì
Smart Card - Sì
Gruppo alimentazione elettrica - Sì
Dispositivi di emergenza - Sì
Piano di emergenza Sì -
Linee guida Sì -
Dispositivo antincendio Sì -
Backup Sì Sì
Vigilanza Sì -
Sistema di allarme Si Sì
Videoregistrazione Sì -
21
Istituto Comprensivo di Sennori
Eventi relativi al contesto Rischio: Errori umani
Descrizione dei rischi contrastati Misure già in essere Misure da adottare
Formazione - Sì
Badge controllo accessi - Sì
Sistemi biometrici controllo
accessi - Sì
Costruzione antisismica - Sì
Smart Card - Sì
Gruppo alimentazione elettrica - Sì
Dispositivi di emergenza - Sì
piano di emergenza Sì -
Linee guida Sì -
Dispositivo antincendio Sì -
Backup Sì Sì
Vigilanza Sì -
Sistema di allarme Si Sì
Videoregistrazione Sì -
Registro controlli accesso - Sì
Rischio: Guasto a sistemi complementari (impianto elettrico, climatizzazione, etc)
Descrizione dei rischi contrastati Misure già in essere Misure da adottare
Registro controlli accesso - Sì
Rischio: Accessi non autorizzati a locali o reparti ad accesso limitato Descrizione dei rischi contrastati Misure già in essere Misure da adottare
Formazione - Sì
Badge controllo accessi - Sì
Sistemi biometrici controllo
accessi - Sì
Costruzione antisismica - Sì
Smart Card - Sì
Gruppo alimentazione elettrica - Sì
Dispositivi di emergenza - Sì
piano di emergenza Sì -
Linee guida Sì -
Dispositivo antincendio Sì -
Backup Sì Sì
Vigilanza Sì -
Sistema di allarme Si Sì
Videoregistrazione Sì -
Registro controlli accesso - Sì
22
Istituto Comprensivo di Sennori
Formazione - Sì
Badge controllo accessi - Sì
Sistemi biometrici controllo
accessi - Sì
Costruzione antisismica - Sì
Smart Card - Sì
Gruppo alimentazione elettrica - Sì
Dispositivi di emergenza - Sì
piano di emergenza Sì -
Linee guida Sì -
Dispositivo antincendio Sì -
Backup Sì Sì
Vigilanza Sì -
Sistema di allarme Si Sì
Videoregistrazione Sì -
Registro controlli accesso - Sì
Rischio: Eventi distruttivi, naturali o artificiali (scariche atmosferiche, incendi, allagamenti, etc) nonché dolosi, accidentali o dovuti ad incuria
Descrizione dei rischi contrastati Misure già in essere Misure da adottare
Formazione - Sì
Badge controllo accessi - Sì
Sistemi biometrici controllo
accessi - Sì
Costruzione antisismica - Sì
Smart Card - Sì
Gruppo alimentazione elettrica - Sì
Dispositivi di emergenza - Sì
piano di emergenza Sì -
Linee guida Sì -
Dispositivo antincendio Sì -
Backup Sì Sì
Vigilanza Sì -
Sistema di allarme Si Sì
Videoregistrazione Sì -
Registro controlli accesso - Sì
Rischio: Sottrazione di strumenti contenenti dati
Descrizione dei rischi contrastati Misure già in essere Misure da adottare
Formazione - Sì
Badge controllo accessi - Sì
Sistemi biometrici controllo
accessi - Sì
Costruzione antisismica - Sì
SmartCard - Sì
23
Istituto Comprensivo di Sennori
Gruppo alimentazione elettrica - Sì
Dispositivi di emergenza - Sì
Piano di emergenza Sì -
Linee guida Sì -
Dispositivo antincendio Sì -
Backup Sì Sì
Vigilanza Sì -
Sistema di allarme Si Sì
Videoregistrazione Sì -
Registro controlli accesso - Sì
Rischio: Accessi non autorizzati a locali o reparti ad accesso limitato Descrizione dei rischi contrastati Misure già in essere Misure da adottare
Formazione - Sì
Badge controllo accessi - Sì
Sistemi biometrici controllo
accessi - Sì
Costruzione antisismica - Sì
Smart Card - Sì
Gruppo alimentazione elettrica - Sì
Dispositivi di emergenza - Sì
piano di emergenza Sì -
Linee guida Sì -
Dispositivo antincendio Sì -
Backup Sì Sì
Vigilanza Sì -
Sistema di allarme Sì -
Videoregistrazione Sì -
Registro controlli accesso - Sì
24
Istituto Comprensivo di Sennori
Banche dati insegnanti - Struttura; Didattica Comportamento degli operatori
Rischio: Errore materiale
Descrizione dei rischi contrastati Misure già in essere Misure da adottare
Chiusura a chiave Sì -
SmartCard - Sì
Rilevazione biometriche - Sì
Badge - Sì
Fotocopiatrice con chiave - Sì
Registrazione numero copia - Sì
Formazione - Sì
Autenticazione utente - Sì
Identificazione utente Sì -
Istruzione incaricati Sì -
Sanzioni disciplinari - Sì
Procedura gestione chiavi Sì -
Controllo riproduzione
audio/video Sì -
Registro distruzione - Sì
Rilevazione accessi - Sì
Vigilanza Sì -
Verifiche Sì -
Circolari Sì -
Crittografia - Sì
Firma digitale - Sì
Gestione risorse umane Sì -
Criteri e procedure per il ripristino della disponibilità dei dati
Criteri e procedure per il ripristino dei dati: Procedura seguita per un eventuale ripristino della Banca dati specifica;
Pianificazione delle prove di ripristini: Descrizione del piano da attuarsi in caso di ripristino di una specifica Banca dati contenenti i dati oggetto del trattamento;
Criteri e procedure per il salvataggio dei dati: Procedura seguita per la esecuzione del Backup di una specifica Banca dati;
Luogo di custodia delle copie: Luogo di conservazione delle copie di Backup di una specifica Banca dati.
25
Istituto Comprensivo di Sennori
RIPRISTINO - Nome Banca dati: Fascicolo del personale - Direttivi - Docenti - Amministrativi - Alunni - Struttura: Ufficio presidenza
Criteri e procedure per il
ripristino dei dati Pianificazione delle prove di ripristini
RIPRISTINO - Nome Banca dati: Anagrafe fornitori e contratti - Struttura: Ufficio D.S.G.A.
Criteri e procedure per il
ripristino dei dati Pianificazione delle prove di ripristini
SALVATAGGIO - Nome Banca dati: Fascicolo del personale - Direttivi - Docenti - Amministrativi – Alunni
Criteri e procedure per il salvataggio dei dati Luogo di custodia delle copie
Mensile NAS di rete Ufficio CED
SALVATAGGIO - Nome Banca dati: Anagrafe fornitori e contratti Criteri e procedure per il salvataggio dei dati Luogo di custodia delle copie
Mensile NAS di rete Ufficio CED
26
Istituto Comprensivo di Sennori
Pianificazione degli interventi formativi previsti Struttura: Ufficio presidenza
Descrizione sintetica degli interventi
formativi Incaricato interessato Tempi previsti
Procedure per il trattamento dei dati
Procedure per la copia ed il ripristino degli archivi/banche dati Procedure per la variazione delle password Modifiche apportate al DPSS durante l'anno
Camboni Rita
Ivana 31/12/2016
Struttura: Ufficio D.S.G.A.
Descrizione sintetica degli interventi
formativi Incaricato interessato Tempi previsti
Procedure per il trattamento dei dati
Procedure per la copia ed il ripristino degli archivi/banche dati Procedure per la variazione delle password Modifiche apportate al DPSS durante l'anno
Degortes Giovanni Gavino 31/12/2016
Struttura: Ufficio personale
Descrizione sintetica degli interventi formativi Incaricato interessato Tempi previsti Procedure per il trattamento dei dati Procedure
per la copia ed il ripristino degli
archivi/banche dati Procedure per la variazione delle password Modifiche apportate al DPSS durante l'anno
Carboni Maria Grazia 31/12/2016
Procedure per il trattamento dei dati
Procedure per la copia ed il ripristino degli archivi/banche dati Procedure per la variazione delle password Modifiche apportate al DPSS durante l'anno
Lizzeri Anna Maria 31/12/2016
Struttura: Didattica Descrizione sintetica degli interventi
formativi Incaricato interessato Tempi previsti
Tutto il personale Docente e Ata
Struttura: Ufficio amministrazione
Descrizione sintetica degli interventi formativi Incaricato interessato Tempi previsti
Procedure per il trattamento dei dati Procedure per la copia ed il ripristino degli archivi /banche dati Procedure per la variazione delle password Modifiche apportate al DPSS durante l'anno Carboni Maria Grazia 31/12/2016
27
Istituto Comprensivo di Sennori
Descrizione sintetica degli interventi formativi: Argomento della formazione eseguita ad un Incaricato che ha come compito il trattamento dei dati presenti in una Banca dati e/o la gestione della stessa;
Incaricato interessato: Incaricato oggetto del piano formativo;
Tempi previsti: Tempi per la esecuzione dell'intervento formativo.
I presenti interventi sono stati tutti eseguiti. Tutto il personale è in grado di interconnettersi ed utilizzare gli archivi dati della rete interna.
28
Istituto Comprensivo di Sennori
Permessi di accesso ai dati
Elenco dei Permessi assegnati a tutti i soggetti che intervengono nel trattamento dei dati personali per una specifica Banca dati gestita da una struttura.
Nome Banca dati: Fascicolo del personale - Direttivi - Docenti - Amministrativi - Alunni - Struttura:
Ufficio presidenza Soggetto
autorizzato Permessi
Lettura Accesso stampa Modifica Cancellazione Nome Banca dati: Anagrafe fornitori e contratti - Struttura: Ufficio D.S.G.A.
Soggetto
autorizzato Permessi
Lettura Accesso stampa Modifica Cancellazione Nome Banca dati: Banche dati insegnanti - Struttura: Didattica
Soggetto
autorizzato Permessi
Lettura Accesso stampa Modifica Cancellazione
29
Istituto Comprensivo di Sennori
Elenco delle sedi e degli uffici in cui vengono trattati i dati Ufficio di Presidenza
Ufficio D. S. G. A Ufficio di Segreteria
Ufficio Protocollo Ufficio Alunni
Sede indirizzo città
Scuola Secondaria di 1° Grado Via Alghero snc Sennori
Caseggiati scolastici dove si svolge l’attività didattica
Sede indirizzo città
Scuola Secondaria di 1° Grado Via Alghero snc Sennori
Scuola primaria “Anna Frank” Via Marconi Sennori
Scuola primaria Montigeddu Via Salvatore Cottoni Sennori Scuola dell’Infanzia “Santa
Vittoria”
Via Santa Vittoria Sennori
Scuola dell’Infanzia Montigeddu Via Catta Sennori
Scuola dell’Infanzia “Su Monte” Via Vivaldi n. 2 Sennori
30
Istituto Comprensivo di Sennori
Parte Seconda a) DEFINIZIONI
Trattamento
Qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.
Dato personale
Qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero identificazione personale.
Dati sensibili
I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
Dati giudiziari
I dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale.
Titolare
La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.
Responsabile
La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.
Incaricati
Le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile.
Interessato
La persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali.
Comunicazione
II dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal
Fornire chiarimenti o notizie a persone od enti che non siano rappresentanti di Istituzioni dello stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.
Diffusione
31
Istituto Comprensivo di Sennori
II dare conoscenza dei dati personali a soggetti indeterminati, non autorizzati dall’intestatario ne in modo palese ne sotto forma di messa a disposizione o consultazione.
Dato anonimo
II dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile.
Blocco
La conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento.
Banca dati
Qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti.
Comunicazione elettronica
Ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico.
Sono escluse le informazioni trasmesse al pubblico tramite una rete di comunicazione elettronica, come parte di un servizio di radiodiffusione, salvo che le stesse informazioni siano collegate ad un abbonato o utente ricevente, identificato o identificabile.
Misure minime
II complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31.
Strumenti elettronici
Gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento.
Autenticazione informatica
L'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identità.
Credenziali di autenticazione
I dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per 1' autenticazione informatica.
Parola chiave
Componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica.
Profilo di autorizzazione
L'insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti.
Strumenti e procedure
L'insieme degli strumenti e delle procedure che abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente.
32
Istituto Comprensivo di Sennori
Titolare del Trattamento
II Titolare del trattamento è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.
Il Titolare del trattamento deve assicurare e garantire direttamente che vengano adottate le misure di sicurezza ai sensi del CODICE IN MATERIA DI DATI PERSONALI e del DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA tese a ridurre al minimo il rischio di distruzione dei dati, accesso non autorizzato o trattamento non consentito, previe idonee istruzioni fornite per iscritto.
Il Titolare del trattamento, in relazione all'attività svolta, può individuare, nominare e incaricare per iscritto, se lo ritiene opportuno, uno o più Responsabili del trattamento dati che assicurino e garantiscano che vengano adottate le misure di sicurezza ai sensi del CODICE IN MATERIA DI DATI PERSONALI. Qualora il Titolare del trattamento ritenga di non nominare alcun Responsabile del trattamento dei dati, ne assumerà tutte le responsabilità e funzioni.
Responsabile del Trattamento dati
II Responsabile del trattamento dati è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo a cui sono affidate le seguenti responsabilità e compiti:
- Garantire che tutte le misure di sicurezza dati personali previste siano applicate.
- Redigere ed aggiornare ad ogni variazione l'elenco delle sedi in cui vengono trattati i dati.
- Redigere ed aggiornare ad ogni variazione l'elenco degli uffici in cui vengono trattati i dati.
- Redigere ed aggiornare ad ogni variazione l'elenco delle banche dati oggetto di trattamento.
- Se il trattamento è effettuato con mezzi informatici, redigere ed aggiornare ad ogni variazione l'elenco dei sistemi di elaborazione.
- Redigere e di aggiornare ad ogni variazione l'elenco delle sedi e degli uffici in cui viene effettuato il trattamento dei dati.
- Nominare per ciascun ufficio in cui viene effettuato il trattamento dei dati, un incaricato con il compito di controllare i sistemi, le apparecchiature, e se previsti, i registri di accesso ai locali allo scopo di impedire intrusioni o danneggiamenti.
- Definire e verificare periodicamente le modalità di acceso ai locali e le misure da adottare per la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità.
- Decidere se affidare il trattamento dei dati in tutto o in parte all'esterno della struttura dell’Istituto - Qualora il trattamento dei dati sia stato affidato in tutto o in parte all'esterno della struttura del titolare controllare e garantire che tutte le misure di sicurezza riguardanti i dati personali siano applicate.
Se il trattamento è effettuato con mezzi informatici, individuare, nominare e incaricare per iscritto, uno o più Responsabili della gestione e della manutenzione degli strumenti elettronici.
Se il trattamento è effettuato con mezzi informatici, individuare, nominare e incaricare per iscritto, uno o più Incaricati della custodia delle copie delle credenziali qualora vi sia più di un incaricato del trattamento.
Se il trattamento è effettuato con mezzi informatici, individuare, nominare e incaricare per iscritto, uno o più Incaricati delle copie di sicurezza delle banche dati.
- Custodire e conservare i supporti utilizzati per le copie dei dati.
33
Istituto Comprensivo di Sennori
Nomina del Responsabile del trattamento dei dati personali
La nomina di ciascun Responsabile del trattamento dei dati personali deve essere effettuata dal Titolare del trattamento con una lettera di incarico in cui sono specificate le responsabilità che gli sono affidate e deve essere controfirmata dall'interessato per accettazione. Copia della lettera di nomina accettata deve essere conservata a cura del Titolare del trattamento in luogo sicuro.
Il Titolare del trattamento deve informare ciascun Responsabile del trattamento dati personali delle responsabilità che gli sono affidate in relazione a quanto disposto dalle normative in vigore, ed in particolare di quanto stabilito dal CODICE IN MATERIA DI DATI PERSONALI (Dls. n.196 del 30 giugno 2003) e dal DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA.
La nomina del Responsabile del trattamento dei dati personali è a tempo indeterminato, e decade per revoca o dimissioni dello stesso, può essere revocata in qualsiasi momento dal Titolare del trattamento dei dati senza preavviso, ed eventualmente affidata ad altro soggetto.
Incaricati alla gestione e manutenzione degli strumenti elettronici
Compiti dei responsabili della gestione e della manutenzione degli strumenti elettronici
L' Incaricato della gestione e della manutenzione degli strumenti elettronici è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo che sovrintende alle risorse del sistema operativo di un elaboratore o di un sistema di Banche di dati.
E' onere del Responsabile del trattamento, in relazione all'attività svolta, individuare, nominare e incaricare per iscritto, se lo ritiene opportuno, uno o più Incaricati della gestione e della manutenzione degli strumenti elettronici.
E' compito degli Incaricati della gestione e della manutenzione degli strumenti elettronici:
- Attivare le credenziali di autenticazione agli Incaricati del trattamento, su indicazione del Responsabile del trattamento, per tutti i trattamenti effettuati con strumenti informatici.
- Definire quali politiche adottare per la protezione dei sistemi contro i virus informatici e intromissioni esterne nel sistema informatico;
- Proteggere gli elaboratori dal rischio di intrusione (violazione del sistema da parte di "hackers").
- Informare il Responsabile del trattamento dei dati personali nella eventualità che si siano rilevati dei rischi relativamente alle misure di sicurezza riguardanti i dati personali.
Qualora il Responsabile del trattamento ritenga di non nominare alcun Incaricato della gestione e della manutenzione degli strumenti elettronici, ne assumerà tutte le responsabilità e funzioni.
Nomina dei responsabili della gestione e della manutenzione degli strumenti elettronici
Il Responsabile del trattamento dati nomina uno o più soggetti Incaricati della gestione e della manutenzione degli strumenti elettronici a cui è conferito il compito di sovrintendere al buon funzionamento delle risorse del sistema informativo e delle Banche di dati.
Anche se non espressamente previsto dalla norma, è opportuno che il Responsabile del trattamento dei dati personali nomini uno o più Incaricati della gestione e della manutenzione degli strumenti elettronici, specificando gli elaboratori o le banche dati che è chiamato a sovrintendere.
Il Responsabile del trattamento dei dati personali deve informare ciascun Incaricato della gestione e della manutenzione degli strumenti elettronici delle responsabilità che gli sono affidate in relazione a quanto disposto dalle normative in vigore, ed in particolare di quanto stabilito dal CODICE IN MATERIA DI DATI PERSONALI (Dls. n.196 del 30 giugno 2003) e dal DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA.
34
Istituto Comprensivo di Sennori
La nomina di uno o più Incaricati della gestione e della manutenzione degli strumenti elettronici deve essere effettuata con una lettera di incarico e deve essere controfirmata per accettazione e copia della lettera di nomina accettata deve essere conservata a cura del Responsabile del trattamento dati personali in luogo sicuro.
La nomina dell'Incaricato della gestione e della manutenzione degli strumenti elettronici è a tempo indeterminato, e decade per revoca o dimissioni dello stesso. Tale nomina può essere revocata in qualsiasi momento dal Responsabile del trattamento senza preavviso, ed eventualmente affidata ad altro soggetto.
Incaricato delle copie di sicurezza delle banche dati
Compiti degli incaricati delle copie di sicurezza delle banche dati
L'Incaricato delle copie di sicurezza delle banche dati è la persona fisica o la persona giuridica che ha il compito di sovrintendere alla esecuzione periodica delle copie di sicurezza delle Banche di dati personali gestite.
E' onere del Responsabile del trattamento dei dati personali, in relazione all'attività svolta, individuare, nominare e incaricare per iscritto, se lo ritiene opportuno, uno o più Incaricati delle copie di sicurezza delle banche dati.
Al fine di garantire l'integrità dei dati contro i rischi di distruzione o perdita, stabilisce, con il responsabile degli strumenti elettronici la periodicità con cui debbono essere effettuate le copie di sicurezza delle Banche di Dati trattate.
I criteri debbono essere concordati con l' Incaricato della gestione e della manutenzione degli strumenti elettronici in relazione al tipo di rischio potenziale e in base al livello di tecnologia utilizzata.
In particolare per ogni Banca di dati debbono essere definite le seguenti specifiche:
- Il "Tipo di supporto" da utilizzare per le "Copie di Back-Up".
- Il numero di "Copie di Back-Up" effettuate ogni volta.
- Se i supporti utilizzati per le "Copie di Back-Up" sono riutilizzati e in questo caso con quale periodicità.
- Se per effettuare le "Copie di Back-Up" si utilizzano procedure automatizzate e programmate.
- Le modalità di controllo delle "Copie di Back-Up".
- La durata massima stimata di conservazione delle informazioni senza che ci siano perdite o cancellazione di dati.
- L'Incaricato del trattamento a cui è stato assegnato il compito di effettuare le "Copie di Back-Up".
- Le istruzioni e i comandi necessari per effettuare le "Copie di Back-Up".
E' compito degli Incaricati delle copie di sicurezza delle banche dati:
- Prendere tutti i provvedimenti necessari ad evitare la perdita o la distruzione dei dati e provvedere al ricovero periodico degli stessi con copie di sicurezza secondo i criteri stabiliti dal Responsabile del trattamento dei dati personali.
- Assicurarsi della qualità delle copie di sicurezza dei dati e della loro conservazione in luogo adatto e sicuro.
- Assicurarsi della conservazione delle copie di sicurezza in luogo adatto e sicuro e ad accesso controllato.
- Di provvedere a conservare con la massima cura e custodia i dispositivi utilizzati per le copie di sicurezza, impedendo l'accesso agli stessi dispositivi da parte di personale non autorizzato.
- Di segnalare tempestivamente al Responsabile della gestione e della manutenzione degli strumenti elettronici, ogni eventuale problema dovesse verificarsi nella normale attività di copia delle banche dati.
35
Istituto Comprensivo di Sennori
Qualora il Responsabile del trattamento ritenga di non nominare alcun Incaricato delle copie di sicurezza delle banche dati, ne assumerà tutte le responsabilità e funzioni.
Nomina degli incaricati delle copie di sicurezza delle banche dati
II Responsabile del trattamento nomina uno o più soggetti Incaricati delle copie di sicurezza
delle banche dati a cui è conferito il compito di compito di effettuare periodicamente le copie di sicurezza delle Banche di dati gestite.
Anche se non previsto espressamente dalla norma, è opportuno che il Responsabile del trattamento dei dati personali nomini uno o più Incaricati delle copie di sicurezza delle banche dati, specificando gli elaboratori o le banche dati che è chiamato a sovrintendere.
Il Responsabile del trattamento dei dati personali deve informare ciascun Incaricato delle copie di sicurezza delle banche dati delle responsabilità che gli sono affidate in relazione a quanto disposto dalle normative in vigore, ed in particolare di quanto stabilito dal CODICE IN MATERIA DI DATI PERSONALI (Dls. n.196 del 30 giugno 2003) e dal DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA.
La nomina di uno o più Incaricati delle copie di sicurezza delle banche dati deve essere effettuata con una lettera di incarico e deve essere controfirmata per accettazione.
Copia della lettera di nomina accettata deve essere conservata a cura del Responsabile del trattamento dei dati personali in luogo sicuro.
Il Responsabile del trattamento dei dati personali deve consegnare a ciascun Incaricato delle
copie di sicurezza delle banche dati una copia di tutte le norme che riguardano la sicurezza del trattamento dei dati in vigore al momento della nomina.
Incaricato del trattamento dei dati personali
Compiti degli incaricati del trattamento dei dati personali
Gli Incaricati del trattamento sono le persone fisiche autorizzate a compiere operazioni di trattamento sui dati personali dal Responsabile del trattamento.
In particolare gli incaricati del trattamento dei dati personali debbono osservare le seguenti disposizioni:
- Gli incaricati che hanno ricevuto credenziali di autenticazione per il trattamento dei dati personali, debbono conservare con la massima segretezza le parole chiave e i dispositivi di autenticazione in loro possesso e uso esclusivo.
- La parola chiave, quando è prevista dal sistema di autenticazione, deve essere composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito.
- La parola chiave non deve contenere riferimenti agevolmente riconducibili all'incaricato.
- L'incaricato del trattamento deve modificarla al primo utilizzo e, successivamente, almeno ogni sei mesi.
- In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave deve essere modificata almeno ogni tre mesi.
- Gli incaricati del trattamento non debbono in nessun caso lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento dei dati personali.
Gli incaricati del trattamento debbono controllare e custodire, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, gli atti e i documenti contenenti dati personali
- Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono 36
Istituto Comprensivo di Sennori
controllati e custoditi dagli incaricati fino alla restituzione in maniera che da essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle
operazioni affidate.
Nomina degli incaricati del trattamento dei dati personali
La nomina di ciascun Incaricato del trattamento dei dati personali deve essere effettuata dal Responsabile del trattamento con una lettera di incarico in cui sono specificati i compiti che gli sono stati affidati che deve essere controfirmata dall'interessato per presa visione.
Copia della lettera di nomina firmata deve essere conservata a cura del Responsabile del trattamento in luogo sicuro.
Il Responsabile del trattamento deve informare ciascun Incaricato del trattamento dei dati
personali delle responsabilità che gli sono affidate in relazione a quanto disposto dalle normative in vigore, ed in particolare di quanto stabilito dal CODICE IN MATERIA DI DATI PERSONALI (Dls.
n.196 del 30 giugno 2003) e dal DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA.
Il Responsabile del trattamento deve consegnare a ciascun Incaricato del trattamento dei dati
personali una copia di tutte le norme che riguardano la sicurezza del trattamento dei dati in vigore al momento della nomina.
Gli Incaricati del trattamento dei dati personali devono ricevere idonee ed analitiche istruzioni scritte, anche per gruppi omogenei di lavoro, sulle mansioni loro affidate e sugli adempimenti cui sono tenuti.
Agli Incaricati del trattamento dei dati personali deve essere assegnata una parola chiave ed un codice di autenticazione informatica.
Agli Incaricati del trattamento dei dati personali è prescritto di adottare le necessarie cautele per assicurare la segretezza della parola chiave e la diligente custodia dei dispositivi in possesso e ad uso esclusivo dell'incaricato.
La nomina dell'Incaricato del trattamento dei dati personali è a tempo indeterminato, e decade per revoca o dimissioni dello stesso. Tale nomina può essere revocata in qualsiasi momento dal Responsabile del trattamento dei dati senza preavviso, ed eventualmente affidata ad altro soggetto.
TRATTAMENTO CON L'AUSILIO STRUMENTI ELETTRONICI Sistema di autenticazione informatica
Procedura di identificazione
Nel caso in cui il trattamento di dati personali è effettuato con strumenti elettronici, il Responsabile del trattamento dati deve assicurarsi che il trattamento sia consentito solamente agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.
Identificazione dell'incaricato
II Responsabile del trattamento dati deve assicurare che il trattamento di dati personali, effettuato con strumenti elettronici, sia consentito solamente agli incaricati dotati di una o più credenziali di autenticazione tra le seguenti:
- Un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo
- Un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave
37
Istituto Comprensivo di Sennori
- Una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave.
Il Responsabile del trattamento dei dati personali deve assicurarsi che il codice per l'identificazione, laddove utilizzato, non potrà essere assegnato ad altri incaricati, neppure in tempi diversi.
Il Responsabile del trattamento dei dati personali deve assicurarsi che le credenziali di autenticazione non utilizzate da almeno sei mesi siano disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.
Il Responsabile del trattamento dei dati personali deve assicurarsi che le credenziali siano disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali.
Ad ogni Incaricato del trattamento possono essere assegnate o associate individualmente una o più credenziali per l'autenticazione.
Caratteristiche della parola chiave
La parola chiave, quando è prevista dal sistema di autenticazione, deve essere composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito.
- La parola chiave non deve contenere riferimenti agevolmente riconducibili all'incaricato.
- La parola chiave deve essere modificata dall'incaricato del trattamento al primo utilizzo e, successivamente, almeno ogni sei mesi.
- In caso di trattamento di dati sensibili e di dati giudiziali la parola chiave deve essere modificata almeno ogni tre mesi.
Cautele per assicurare la segretezza della componente riservata della credenziale
Gli incaricati debbono adottare le necessarie cautele per assicurare la segretezza della parola chiave e custodire diligentemente ogni altro dispositivo che gli è stato affidato per i sistemi di autenticazione informatica (badge magnetici, tessere magnetiche, ecc..).
In particolare è fatto divieto comunicare a chiunque altro incaricato le proprie credenziali di accesso al sistema informatico.
Istruzioni per non lasciare incustodito e accessibile lo strumento elettronico Gli incaricati hanno l'obbligo di:
- Non lasciare incustodito il proprio posto di lavoro.
- Di chiudere tutte le applicazioni aperte o meglio ancora di spegnere il sistema informatico in caso di assenza prolungata.
Sistema di autorizzazione
I Responsabili del trattamento hanno il compito di individuare gli Incaricati del trattamento per ogni tipologia di banca di dati personali trattata.
II tipo di trattamento effettuato da ogni singolo Incaricato del trattamento può essere differenziato.
In particolare ad ogni Incaricato del trattamento può essere data dal Responsabile del trattamento la possibilità di:
- Inserire nuove informazioni nella banca di dati personali - Accedere alle informazioni in visualizzazione e stampa
- Modificare le informazioni esistenti nella banca di dati personali - Cancellare le informazioni esistenti nella banca di dati personali
38
Istituto Comprensivo di Sennori